Auditing IT Governance Control

Tugas Mata Kuliah

Auditing EDP

Oleh:
Nama : Sisilia Harfiyanti
Adila Dian Puspita
Eka Nisaul Yuha
Khansa Aulia Faadhilah
NIM : 210810301224
210810301231
210810301232
210810301233

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2024
 BAB I PENDAHULUAN

2.1 Latar Belakang

Seiring berkembangnya zaman, Teknologi Informasi (TI) menjadi suatu hal yang
sangat penting dan tidak bisa dipisahkan dari kehidupan sehari – hari. Penggunaan
Teknologi Informasi ini semakin meluas hingga masuk ke ranah dunia bisnis. Dengan
adanya Teknologi Informasi ini telah memudahkan pekerjaan dan dapat meningkatkan
kinerja dari suatu entitas yang menggunakannya. Namun, dengan semakin
berkembangnya Teknologi Informasi ini juga memberikan kompleksitas dan integritas
tantangan yang semakin berat bagi perusahaan yang menggunakannya. Manajer
perusahaan berusaha untuk membuat kebijakan dan menciptakan inovasi sebagai
bentuk terobosan strategi yang dapat memberikan kontribusi yang optimal dalam
rangka mencapai tujuan perusahaan. Namun seperti yang kita ketahui, dalam
pemanfaatan Teknologi Informasi ini justru banyak sekali perusahaan yang
menghabiskan sumber daya namun hasil yang dicapai tidak sesuai dengan yang
diharapkan perusahaan. Oleh sebab itu, perusahaan membutuhkan adanya
manajemen informasi yang efektif serta pemanfaatan teknologi yang efisien sehingga
sangat penting bagi perusahaan untuk menerapkan “IT Governance”.

IT Governance sendiri merupakan struktur dari hubungan relasi dan proses untuk
mengerahkan dan mengendalikan suatu perusahaan dalam rangka untuk mencapai
tujuan dengan memberikan nilai tambah pada saat menyeimbangkan resiko dengan
menyesuaikan TI pada proses bisnis perusahaan. Manfaat dari IT Governance sendiri
sulit untuk dikuantifikasikan karena ukuran keberhasilannya bersifat intangible.
Teknologi Informasi adalah asset yang berharga bagi perusahaan karena Teknologi
Informasi dapat mengubah pola pekerjaan, kinerja perusahaan, hingga sistem
manajemen dalam pengelolaan organisasi. Namun, dalam penggunaannya tidak
jarang terjadi kesalahan baik itu secara sengaja (kecurangan karyawan) ataupun tidak
disengaja (by system). Oleh karena itu dibutuhkan adanya audit TI yang bertujuan
untuk mencegah beberapa ancaman seperti : (1) kerugian yang dikarenakan oleh
kehilangan data; (2) kesalahan pengambilan keputusan; (3) adanya kebocoran data;
(4) penyalahgunaan komputer; (5) kerugian atas kesalahan input dan perhitungan;
serta (6) tingginya investasi atas perangkat lunak dan keras komputer karena semakin
ketatnya persaingan di dunia bisnis yang berbasis Teknologi Informasi.
 Mengapa topik ini menarik untuk dipelajari? Hal ini dikarenakan dengan
mempelajari mengenai IT Governance Control maka kita akan mengetahui bagaimana
cara manajemen untuk mengelola informasi yang efektif serta pemanfaatan teknologi
yang efisien. Selain itu, dengan adanya IT Governance dapat meningkatkan kinerja
perusahaan sehingga perusahaan mampu untuk bersaing dalam persaingan bisnis
yang semakin ketat saat ini.

2.2 Rumusan Masalah

1. Apa yang dimaksud dengan Information Technology (IT) Governance?
2. Bagaimanakah struktur dari fungsi teknologi informasi (TI)?
3. Apa yang dimaksud dengan Computer Center?
4. Apakah yang dimaksud dengan Disaster Recovery Planning?
5. Apa yang dimaksud dengan Outsourcing Fungsi TI?

2.3 Tujuan Penulisan

1. Untuk mengetahui apa yang dimaksud dengan Information Technology (IT)
Governance;
2. Untuk mengetahui bagaimanakah struktur dari fungsi teknologi informasi (TI);
3. Untuk mengetahui apa yang dimaksud dengan Computer Center;
4. Untuk mengetahui apakah yang dimaksud dengan Disaster Recovery
Planning; dan
5. Untuk mengetahui apa yang dimaksud dengan Outsourcing Fungsi TI.
 BAB II PEMBAHASAN

2.1. Information Technology (IT) Governance

“Governance” berasal dari “government”, yang artinya perencanaan dan

membuat kebijakan berdasarkan aspirasi masyarakat sehingga sejalan dan selaras
akan kehendak yang diinginkan. Arti “governance” didalam IT Governance yaitu
kebijakan TI yang diterapkan agar penggunaan sejalan dan searas dengan tujuan
organisasi. Kebiajakan TI adalah pedoman, aturan, komitmen dan proses
pengendalian manajemen dalam suatu organisasi dalam pengendalian sumberdaya
teknologi informasi atau sistem informasi dari sumberdaya komunikasi (software,
brainware, database dan sebagainya), teknologi informasi dan jaringan LAN atau
internet. IT Governance dimaksudkan sebagai pola dari otoritas atau kebijakan
terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah membangun kebijakan
dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara efisien, efektif
dan aman, serta proses IT Project Management yang efektif. Standar COBIT dari
lembaga ISACA di Amerika Serikat mendefinisikan IT Governance sebagai berikut:
“structure of relationships and processes to direct and control the enterprise in order to
achieve the entreprise’s goals by value while balancing risk versus return over IT and
its processes”.

IT Governance sebagai kumpulan kebijakan, proses atau aktivitas dan prosedur

untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup hal-hal
yang berkaitan dengan Change Management, Problem Management, Release
Management, Availability Management dan bahkan Service-Level Management. Lebih
lanjut, IT Governance yang baik harus berkualitas, well-defined dan bersifat
“repeatable processes” yang terukur. IT Governance yang dikembangkan dalam suatu
organisasi modern berfungsi pula mendefinisikan kebijakan-kebijakan TI, menetapkan
prosedur penting proses TI, dokumentasi aktivitas TI, termasuk membangun IT Plan
yang efektif berdasarkan perubahan lingkungan perusahaan dan perkembangan TI.
 Gambar 1. IT Governance Framework

Untuk mewujudkan tujuan yang bersifat integratif dan komprehensif tersebut,

maka tidak mungkin pengelolaan TI pada organisasi skala menengah dan besar hanya
menjadi urusan dari departemen komputer saja (IT Function), akan tetapi harus
melibatkan semua pihak, termasuk stakeholder, sesuai dengan proporsinya, mulai dari
dewan komisaris, top management, manajer fungsional, manajer operasional,
karyawan sebagai end-user, tapi tentu saja terutama manajer teknologi informasi.

Dengan adanya IT Govenance yang baik yang berjalan di dalam suatu

organisasi perusahaan, maka puluhan IT Process beserta IT Activities dapat berjalan
secara sistematis, terkendali dan efektif. Bahkan hingga menciptakan efisiensi dengan
sendirinya, mengurangi biaya operasional dan meningkatkan daya saing. Output dan
outcome dari IT Governance yang baik tersebut hanya dapat dicapai jika tata kelola
tersebut dikembangkan dengan menggunakan IT Framework berstandar internasional,
misalnya dengan mengimplementasikan COBIT, IT-IL Management, COSO, ISO IT
Security dan lain sebagainya.
 Gambar 2. COBIT pada IT Governance

2.1.1.Control Objective for Information and Related Technology (COBIT)

COBIT dikenalkan pertama kali pada tahun 1996 yag merupakan alat yang
digunakan untuk mengatur komputer dengan teknologi informasi yang bertujuan untuk
melakukan pengendalikan informasi dan eknologi informasi yang dikembangkan dan
dipromosikan oleh IT Governance. COBIT dapat diterapkan dalam suatu organisasi
untuk melakuan pengendalian dan implementasi pengaturan TI dengan menerapan
pedoman COBIT. Pedoman COBIT merupakan manajemen yang didalamnya berisikan
kerangka kerja untuk pemberdayaan dan pengaturan manajemen TI dengan alat – alat
yang mempuni untuk melakukan penilai dan pengukuran TI dalam suatu organisasi
atau perusahaan. Komponen COBIT terdiri dari Executive Summary, Framework,
Control Objectives, Audit Guidelines, Implemenation Tool Set, Management
Guidelines. Alat-alat yang digunakan dalam penilai dan pengaturan TI tersebut yaitu :

1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan

bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek
terbaik non teknis dari tiap proses TI
3. Model maturity untuk membantu dalam benchmarking dan pengambilan
keputusan bagi peningkatan kemampuan

COBIT diterapkan melandaskan utuk mengatur dan mengendalika teknologi

informasi (Information Technology Governance). Dalam penerapannya COBIT
melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-
makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat
diterima umum (generally accepted control objectives). Audit Guidelines yang
memungkinkan penerapan framework dan control objectives dapat berjalan mudah.
Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia
usaha maupun auditor dalam menjalankan profesinya.

2.2. Struktur dari Fungsi TI

2.2.1.Centralized Data Processing (CDP)

CDP merupakan pengelolahan data, dengan sekeompok unit komputer besar

yang menjalakan prosesnya pada central site yang berfungsi memberikan kemudahan
bagi para penggunanya.. Keuntunfan dalam menerapkan CDP :

a) Biaya yang dikeluarkan ebih sedikit dalam peralatan dan personil, karena
peralatan dan personil yang dipakai relatif lebih sedikit.
b) Data terjamin dari penduplikasian dengan adanya pengkalan data yang
konsisten untuk melindungi data – data.
c) Dengan adanya satu pangkalan data, langkah-langkah pengamanan data
dapat diambil dengan mudah. Dengan kata lain, mudah dalam menegakkan
standar dan keamanan.
d) Kinerja sistem memberikan jaminan bahwa tidak terpengaruhi pada spesifkasi
teknis hardware.
e) Penyederhanaan dalam pemeliharaan sistem dan mengurangi redudansi.

Di sisi lain centralized data processing juga memiliki kekurangan, antara lain:

a) Timbulnya kesan bahwa para pemilik data merasa kehilangan hak memiliki
data yang diperlukan untuk penyelenggaraan fungsinya karena apabila data
tertentu diperlukannya, ia harus meminta kepada pusat pengolahan data.
b) Resiko yang tinggi terhadap pusat atau pangkalan data berdampak pada
keberlangsungan aktivitas pada seluruh fungsi di dalam sebuah organisasi.

2.2.2.Segregation of Incompatible IT Functions

2.2.2.1. Separating System Development from Computer Operation

Merupakan pemisah proses pengembangan aktivitas dan sistem operasional

dengan melakukan pembeaan atau pemisahan dalam menjalankan sistem dengan
mendapatkan akses terlebih dahulu dari setiap user yang berwenang. Apabila dalam
pelaksanaanya diketahui seperti halnya dalam menentukan logika dasar pemrogaman
dapat dilakukan pembedaan atau pengubahan atas kerja aplikasi dalam
menjalankannya.

2.2.2.2. Separating Database Administration from other Function

Merupakan pemisahan antara database administration dengan memberikan hak

ases ke user lainya atas akses database dengan memngawasi dalam penggunaan
akses dan melakukan perencanaan atas pengembangan dari atabase.

2.2.2.3. Separating New Systems Development from Maintenance

Merupakan pemisahan antara sistem dengan pemeiliharaan teerhadap sistem

dalam apikasi. Didaam sistem terdapat perbedaan tugas dalam melakukan
pengembangan dan peeliharaan. Sistem analisis bertugas untuk mendesain sistem
dengan melkukan metode wawancara ke user yang akan menggunakan sistem
tersebut. Programmer akan melakukan pemrograman atau pembuatan aplikasi yang
akan digunakan dalam sistem dengan menggunakan source code.dan juga melakukan
perbaikan atau mainteneance secara berkala terhadap aplikasi atau sistem yang
dibuatnya. Cara ini juga dapat menimbulkan kerugian dalam pelaksanaannya di antara
lain :

a) Inadequate Documentation
Pendokumentasiaan yang tidak diperhatikan sehingga akan menimbukan
kesusahan dalam interpretasi, pengetesan, dan menjalankan program atau
sistem atau aplikasi yang nantinya akan mengakibatkan kesulitan
dalammelakukan penggunaan sistem dan untuk programmer akan kesulitan
untuk menangani kerusakan yang terjadi.

b) Program Fraud
Adanya kesempatan dan dorongan yang mungkin saja dapat dilakukan
sehingga akan menimbukan kecurangan oleh programmer saat melakukan
pemeliharaan terhadap sistem atau aplikasi yang dibuatnya sehingga
mengakibatkan kerusakan, sehingga perusahaan akan melakukan
pemeliharaan berkelanjutan ntuk membenahi dan juga mengeluarkan biaya
tambahan untuk pembenaran atau pemeliharaan.

2.2.3.Distributed Data Processing (DDP)

 Distributed data processing (DDP) merupakan perkembangan dari time sharing
system. DDP dapat didefinisikan sebagai suatu sistem komputer interaktif yang
terpencar secara geografis dan dihubungkan dengan jalur telekomunikasi dan seitap
komputer mampu memproses data secara mandiri dan mempunyai kemampuan
berhubungan dengan komputer lain dalam suatu sistem.

Gambar 3. Contoh Distributed data Processing

Model distributed data processing memiliki beberapa keuntungan, antara lain:

a) Pengawasan distribusi dan pengambilan data. Jika beberapa site yang

berbeda dihubungkan, seorang pemakai yang berada pada satu site dapat
mengakses data pada site lain. Contoh: sistem distribusi pada sebuah bank
memungkinkan seorang pemakai pada salah satu cabang dapat mengakses
data cabang lain.
b) Reliability dan availability. Sistem distribusi dapat terus menerus berfungsi
dalam menghadapi kegagalan dari site sendiri atau mata rantai komunikasi
antar site.
c) Kecepatan pemrosesan query. Contoh: jika site-site gagal dalam sebuah
sistem terdistribusi, site lainnya dapat melanjutkan operasi jika data telah
direplikasi pada beberapa site.
 d) Otonomi lokal. Pendistribusian sistem mengijinkan sekelompok individu dalam
sebuah perusahaan untuk melatih pengawasan lokal melalui data mereka
sendiri. Dengan kemampuan ini dapat mengurangi ketergantungan pada
pusat pemrosesan.
e) Efisiensi dan fleksibel. Data dalam sistem distribusi dapat disimpan dekat
dengan titik dimana data tersebut dipergunakan. Data dapat secara dinamik
bergerak atau disain, atau salinannya dapat dihapus.

Di sisi lain distributed data processing juga memiliki kekurangan, antara lain:
a) Harga mahal. Hal ini disebabkan sangat sulit untuk membuat sistem database
distribusi.
b) Kompleksitas. Site-site beroperasi secara paralel sehingga lebih sulit untuk
menjamin kebenaran dan algoritma. Adanya kesalahan mungkin tak dapat
diketahui.
c) Biaya pemrosesan tinggi. Perubahan pesan dan penambahan perhitungan
dibutuhkan untuk mencapai koordinasi antar site.
d) Redudansi data. Berbagai data diolah di berbagai site, hal tersebut dapat
menimbulkan adanya data yang berulang atar site atau redudansi.
e) Sulit menjaga keutuhan data. Banyaknya pengaksesan data membuat
kurangnya sekuritas terhadap data yang telah terdistribusi.
f) Perancangan basis data lebih kompleks. Sebelumnya menjadi keuntungan.
Tetapi karena distribusi menyebabkan masalah sinkronisasi dan koordinasi,
kontrol terdistribusi menjadi kerugian atau kekurangan di masalah ini.

2.2.4.Controlling the DDP Environment

Adanya kontrol terhadap DDP akan memberikan kemudahan bagi suatu

organisasi yang penerapkannya. Distributed data processing memungkinkan suatu
sistem menjadi lebih kompleks, karena banyaknya database yang tersebar dan jumlah
data yang banyak dan terus meningkat didalam suatu organisasi maupun perusahaan.
Adanya kontrol terhadap aset yang terkait yang berada diberbagai area yang harus
dikontrol keberadaanya serta menjamin funsionalitasnya dengan melakukan kontrol
secaa rutin baik dengan menggunakan pereorang untuk melakukan pengeekan rutin
berkala.

2.3. Computer Center

2.3.1.Physical Location
 Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg diakibatkan oleh
bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh: Perusahaan
diusahakan mencari atau memilih lokasi tempat yang tepat untuk menghindari terjadi
bencana alam seperti gempa bumi atau banjir.

2.3.2.Construction

Kondisi bangunan tempat dimana komputer atau pusat data harus dalam
keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan listrik jangan
sampai terputus. Supply listrik harus diperhatikan dan bangunan harus selalu dalam
keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data tidak terjadi
gangguan pada server.

2.3.3.Access

Keamanan pada pusat server harus diperketat, dapat dilakukan dengan cara
pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar tidak
semua orang bisa masuk kedalam ruangan server untuk menjaga keamanan pada
penyimpanan data. Dan pada pintu darurat juga diperhatikan, serta ruangan dipasang
kamera perekam (CCTV) agar pada setiap kegiatan dapat diketahui dan tidak
menimbulkan kasus-kasus yang tidak baik dalam ruangan server.

2.3.4.Air Conditioning

Suhu pada ruangan server harus diperhatikan harus sesuai dengan kebutuhan
komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu yang
panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak terganggu
pada saat bekerja.

2.3.5.Fire Suppression

Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran

harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih penempatan
yang tepat untuk meletakkan alat tabung kebakaran atau alarm kebakaran dan
melakukan pelatihan jika terjadi musibah kebakaran maka user atau pekerja agar
mereka tidak panik.

2.3.6.Fault Tolerance
 Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator.

Cara di mana sistem operasi merespon keras atas kegagalan perangkat lunak.
Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk memungkinkan
kegagalan atau kerusakan, dan kemampuan ini dapat disediakan oleh perangkat
lunak, perangkat keras atau kombinasi keduanya. Untuk menangani kesalahan ini,
beberapa sistem komputer diharapkan memiliki dua atau lebih sistem data duplikat.
Contoh: Perusahaan sebaiknya membuat sistem bayangan. Jadi membuat data
duplikat yang disimpan di tempat lain jika terjadi kesalahan pada data pertama masih
memiliki data duplikat. Dan cara kedua dengan menggunakan Unit Power Supply
(UPS), agar pada saat supply listrik ke server terputus, terdapat jeda sebelum
komputer mati, jadi masih memiliki waktu untuk menyimpan atau menyelamatkan data.

2.3.7.Audit Objectives

Audit Objective dari IT governance khususnya data center adalah untuk

memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik.

2.3.8.Audit Procedures

Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai
berikut:

a) Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang
dengan baik agar tidak terjadi korsleting atau listrik putus pada saat
melakukan proses pada server.

b) Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan
CCTV yang berfungsi dengan baik.
 c) Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan
kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error.

d) Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.

e) Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik
pada server yang lainnya. Dan melakukan pengecekan pada alat UPS apakah
baterai pada UPS masih dapat menyimpan energi listrik yang digunakan pada
saat terjadi pemadaman listrik.

f) Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal
yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek
apakah asuransi tersebut diperpanjang tiap tahunnya.

2.4 Disaster Recovery Planning

Menurut Maiwald-Sieglein (2002), suatu bencana (disaster) dapat didefinisikan

sebagai kejadian tentang segala peristiwa yang menyebabkan suatu gangguan penting
pada kemampuan teknologi informasi. Peristiwa tersebut dapat mengganggu kinerja
perusahaan sehingga dapat mengakibatkan terjadinya kerugian. Bencana sendiri
dapat dibagi menjadi tiga, yaitu bencana yang disebabkan oleh alam seperti gunung
meletus, tanah longsor, tsunami, ataupun bencana yang disebabkan oleh manusia
seperti sabotase, serta bencana yang berasal dari sistem itu sendiri seperti adanya
kegagalan sistem, crash data, dan sebagainya. Oleh karena itu, perusahaan harus
mempersiapkan dan merencanakan bagaimana untuk menghadapi serta
menanggulangi bencana yang terjadi dalam rangka untuk meminimalisir kerugian yang
ditimbulkan dengan membuat Disaster Recovery Planning.

Disaster Recovery Planning merupakan kemampuan dari perusahaan dalam

rangka menanggulangi bencana atau kegagalan dengan mengimplementasikan
rencana pemulihan bencana dengan tujuan untuk menstabilkan dan memulihkan
kondisi dari organisasi. Disaster Recovery Planning terdiri atas tiga perencanaan,
antara lain : (1) proteksi atau perlindungan yang dibentuk untuk mencegah atau
melindungi sistem dari bencana; (2) pengatasan bencana yang dibuat untuk
mengurangi dampak kerugian bencana pada perusahaan; serta (3) pemulihan pasca
bencana sehingga kegiatan bisnis perusahaan dapat kembali berjalan. Tujuan audit
dari fungsi DRP sendiri adalah untuk memverifikasi apakah rencana pemulihan
bencana dapat mencukupi kebutuhan perusahaan dan apakah implementasinya telak
dilakukan dengan efektif dan efisien.

2.4.1 Identify Critical Applications

Dalam pelaksanaan pemulihan perusahaan pasca terjadinya bencana maka

perusahaan harus fokus pada fitur sehingga perusahaan dapat bertahan. Dalam hal ini
maka perusahaan harus membuat daftar aplikasi untuk menunjang kegiatan
operasional perusahaan. Selain itu, auditor juga harus mengkaji ulang daftar dari
aplikasi tersebut untuk memastikan apakah aplikasi yang dibutuhkan telah lengkap
karena apabila terdapat aplikasi yang terlewat, maka hal ini akan berdampak pada
kegagalan dalam proses pemulihan perusahaan pasca bencana.

2.4.2 Creating a Disaster Recovery Team

Gambar 4. Tim Pemulihan Bencana

2.4.3 Providing Second-Site Backup

Komponen terpenting dalam DRP adalah adanya fasilitas yang memungkinkan

untuk menduplikasi (backup) data sehingga perusahaan tidak banyak kehilangan data
pentingnya akibat bencana. Beberapa site bacup yang tersedia yaitu pusat operasi
pemulihan, cold site, driver cadangan internal, dan sebagainya. Dalam hal ini, auditor
diharuskan untuk mengevaluasi pengaturan cadangan backup.

2.5 Outsourcing Fungsi TI

Dalam persaingan bisnis yang semakin ketat, perusahaan berusaha untuk tetap
bertahan dalam persaingan dengan cara melakukan efisiensi biaya produksi. Salah
satu cara untuk melakukan efisiensi biaya adalah dengan outsourcing dengan harapan
agar perusahaan dapat mengurangi pengeluaran untuk SDM. Outsourcing atau
contracting out sendiri merupakan pemindahan pekerjaan dari satu perusahaan ke
perusahaan lain. Sedangkan outsourcing fungsi TI merupakan penyediaan tenaga ahli
dalam bidang TI dengan tujuan untuk meningkatkan kinerja perusahaan. Dengan
adanya outsourcing diharapkan perusahaan dapat lebih fokus dalam mencapai misi
organisasi dan pelayanan yang terbaik kepada konsumen. Selain itu, dengan adanya
outsourcing juga diharapkan bahwa perusahaan dapat meningkatkan kinerjanya
sehingga menjadi lebih efektif dan efisien serta mampu mengurangi atau menghemat
biaya langsung maupun biaya overhead dalam bidang yang telah di outsource.
Beberapa keuntungan yang didapat oleh perusahaan apabila melakukan outsourcing
yaitu :

a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-
nilai positif dari sistem dan teknologi informasi.
b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi
klien berupa kemajuan teknologi dan pengalaman personil.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di
bidang tersebut.

2.5.1.Risks Inherent to IT Outsourcing

 Selain memperoleh keuntungan diatas, melakukan outsourcing juga memiliki
beberapa resiko yang harus ditanggung oleh perusahaan, antara lain :

a) Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada
vendor atau penyedia layanan
b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan
c) Resiko terhadap keamanan data perusahaan, dimana IT outsource sangat
berhubungan dengan data perusahaan
d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah
aplikasi strategik
e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan
perencanaan bisnis perusahaan secara keseluruhan
f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan
dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap
digunakan

2.5.2.Audit Implications of IT Outsourcing

Tujuan dilakukannya audit atas outsourcing fungsi TI yang telah dilakukan oleh
perusahaan yaitu :

a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan kelanjutan

dari jasa, tingkat layanan dan keamanan informasi
b) Menelaah apakah tujuan dari outsourcing tercapai
c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana
IT outsourcing

Selain itu, terdapat beberapa komponen penting yang harus seorang auditor
perhatikan ketika mengaudit outsourcing fungsi TI, antara lain :

a) Kontrak
Sangat penting bagi kedua pihak perusahaan yang melakukan outsourcing
fungsi TI untuk memiliki dokumen kontrak yang memiliki kekuatan hukum serta
merinci kesepakatan atas berbagai aspek pengaturan dalam pelaksanaan
outsourcing tersebut. Titik awal bagi auditor dalam melakukan audit outsourcing
fungsi TI sendiri terletak pada dokumen kontrak dimana auditor akan
melakukan pengawasan terhadap kontrak dan mengevaluasi resiko dalam
kontrak.
b) Statement of Work
Informasi penting kedua setelah kontrak yaitu statement of work atau yang
biasa kita sebut sebagai laporan kerja dimana laporan tersebut berisi daftar
pekerjaan yang harus dilakukan oleh penyedia layanan. Dalam hal ini maka
auditor harus memeriksa apakah penyedia layanan benar – benar melaksanaan
pekerjaannya sesuai dengan kontrak yang telah disepakati.

c) Sekuritas Data
Berbagai akses terhadap aplikasi dan sistem harus diberikan kepada penyedia
layanan untuk melaksanakan outsourcing fungsi TI. Untuk tetap menjaga
keamanan dan kerahasiaan informasi, maka dibutuhkan adanya prosedur yang
tepat mengenai bagaimana akses tersebut akan diberikan kepada penyedia
layanan. Dalam hal ini, auditor harus memeriksa apakah kebijakan keamanan
dan proses penyedia layanan telah sinkron. Auditor harus memeriksa
bagaimana mekanisme yang telah ditetapkan untuk pemantauan keamanan
dan proses yang terkait. Dalam beberapa kasus, tergantung pada sifat dari
pekerjaan outsourcing, personil dari penyedia layanan bahkan mungkin diberi
akses superuser ke beberapa sistem.

d) Impact on IT Strategy
Kegiatan outsourcing fungsi TI sangat sering dilakukan oleh berbagai
perusahaan dalam skala besar. Hal ini kemudian memberikan dampak yang
sangat signifikan terhadap kegiatan bisnis dimana teknologi informasi (TI)
kemudian menjadi salah satu komponen penting dalam pelaksanaan proses
bisnis. Oleh karena itu, auditor harus melakukan pengecekan atas keseluruhan
scenario perusahaan setelah dilakukan outsourcing fungsi TI.
 BAB III PENUTUP

3.1 Kesimpulan

IT Governance merupakan suatu komitmen, kesadaran dan proses pengendalian

manajemen organisasi terhadap sumber daya teknologi informasi atau sistem
informasi yang dibeli dengan harga mahal, yang mencakup mulai dari sumber daya
komputer (software, brainware, database dan sebagainya), hingga ke teknologi
informasi dan jaringan LAN atau internet. Output dan outcome dari IT Governance
yang baik tersebut hanya dapat dicapai jika tata kelola tersebut dikembangkan dengan
menggunakan IT Framework berstandar internasional, misalnya dengan
mengimplementasikan COBIT, IT-IL Management, COSO, ISO IT Security dan lain
sebagainya. COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan
teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap
teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
Struktur dari fungsi TI terdiri atas : (1) Centralized Data Processing (CDP); (2)
Segregation of Incompatible IT Functions; dan (3) Distributed Data Processing (DDP).
Disaster Recovery Planning merupakan kemampuan dari perusahaan dalam rangka
menanggulangi bencana atau kegagalan dengan mengimplementasikan rencana
pemulihan bencana dengan tujuan untuk menstabilkan dan memulihkan kondisi dari
organisasi. Disaster Recovery Planning terdiri atas tiga perencanaan, antara lain : (1)
proteksi atau perlindungan yang dibentuk untuk mencegah atau melindungi sistem dari
bencana; (2) pengatasan bencana yang dibuat untuk mengurangi dampak kerugian
bencana pada perusahaan; serta (3) pemulihan pasca bencana sehingga kegiatan
bisnis perusahaan dapat kembali berjalan. Dalam persaingan bisnis yang semakin
ketat, perusahaan berusaha untuk tetap bertahan dalam persaingan dengan cara
melakukan efisiensi biaya produksi. Salah satu cara untuk melakukan efisiensi biaya
adalah dengan outsourcing dengan harapan agar perusahaan dapat mengurangi
pengeluaran untuk SDM. Outsourcing fungsi TI merupakan penyediaan tenaga ahli
dalam bidang TI dengan tujuan untuk meningkatkan kinerja perusahaan. Dengan
adanya outsourcing diharapkan perusahaan dapat lebih fokus dalam mencapai misi
organisasi dan pelayanan yang terbaik kepada konsumen. Selain itu, dengan adanya
outsourcing juga diharapkan bahwa perusahaan dapat meningkatkan kinerjanya
sehingga menjadi lebih efektif dan efisien serta mampu mengurangi atau menghemat
biaya langsung maupun biaya overhead dalam bidang yang telah di outsource.
 REFERENSI

James A, Hall. 2011. Information Technology Auditing and Assurance. Cengage

Learning.

Alter, Steven. 1999. Information System : A managerial perspective, 3rd edition.

Addison. Wesley. USA.

Gondodiyoto, S. (2007). Audit Sistem Informasi + Pendekatan CobIT. Jakarta: Mitra

Wacana Media.

McLeod Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa Indonesia.
Terjemahan Teguh, H. Prenhallindo, Jakarta.